8 月 23 日,巴西国家数据保护局(ANPD)发布 CD/ANPD 第 19 号决议,批准了《数据跨境传输条例》(Regulamento de Transferência Internacional de Dados,以下简称《条例》)和标准合同条款(cláusulas-padrão contratuais,SCCs)。该《条例》对数据跨境传输作出了详细规定,以规范将个人数据传输至巴西境外的行为。标准合同条款(SCCs)则为数据传输方与境外数据接收方之间传输个人数据提供了一个合法机制。
下文将为您介绍巴西《数据跨境传输条例》和标准合同条款(SCCs)的主要内容。
主要内容
1.《条例》的适用范围
存在下列情形之一的,数据跨境传输行为需同时遵守巴西《通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,以下简称 LGPD)和《条例》:
- 数据处理操作在巴西境内进行,但不包括 LGPD 第 4 条第 IV 项和《条例》第 8 条规定的情形(即数据来源于巴西境外,且未与巴西境内的数据处理主体进行通信或共享;或者数据来源于巴西境外,仅在处理后返还数据来源国,前提是数据来源国的法律适用于此种数据处理行为、其数据保护水平通过 ANPD 的充分性认定、且 ANPD 的充分性认定中明确规定了此种例外情况)。
- 数据处理活动的目的是在巴西境内提供商品或服务,或者处理巴西境内个人的数据;
- 需处理的数据收集自巴西境内。
《条例》还特别说明,境外的数据处理主体直接向巴西境内个人收集数据的行为(international data collection)不属于数据跨境传输,因此不受《条例》规制,不过,我们在此希望提醒读者,此类数据收集行为仍需遵守 LGPD 的规定。
2.数据跨境传输的原则
《条例》规定,数据跨境传输行为应根据 LDPG 和《条例》要求进行,并遵循以下原则:
- 遵守数据处理的原则,保证数据主体权利,并提供与巴西立法相同的保护水平;
- 采用简单的程序,优先选择可互操作、符合国际标准、且实践中效果最佳的程序;
- 在保障数据主体权利的同时,促进数据的自由跨境流动,推动社会、经济和技术发展;
- 采取有效措施,以确保能够证明遵守巴西《通用数据保护法》(LGPD)有关数据主体权利及个人数据保护制度相关规定。
- 实施有效的透明度措施,在遵守商业秘密有关规定的情况下,确保向数据主体提供有关数据传输的清晰、准确且易于获取的信息;
- 采取与所处理个人数据性质、处理目的以及操作风险相当的预防和安全措施。
3.数据跨境传输的机制
《条例》规定,数据跨境传输可以依据以下任一机制进行:
- ANPD 作出的充分性认定;
- 针对特定传输的合同条款;
- 标准合同条款(SCCs);
- 具有约束力的公司规则(BCRs);
- LGPD 第33条规定的其他机制,包括定期签发的印章、证书和行为准则,取得数据主体在明确知悉跨境传输性质和目的情况下的针对性同意,为保护数据主体或第三方生命或人身安全,为履行国际合作协议,为履行数据控制者义务,为履行与数据主体有关的合同义务,为在司法、行政或仲裁程序中行使合法权利,为满足政府调查等国际法律合作的要求,以及为执行公共政策或法定职责。
4.标准合同条款(SCCs)
巴西境内或境外的企业作为数据传输方向巴西境外的其他企业传输巴西用户个人数据时,均可采用 SCCs 作为数据跨境传输机制,仅需注意必须完全采用 ANPD 提供的 SCCs 文本(SCCs 文本见 CD/ANPD 第 19 号决议《附件二》),不得对其进行任何修改,也不得以直接或间接的方式排除或修改 SCCs 的规定、或者作出与 SCCs 相抵触的约定。《条例》还规定,ANPD 可以认定其他国家或国际组织提供的 SCCs 与 ANPD 提供的 SCCs 具有等效性,被认定为具有等效性的 SCCs 也可以作为向境外传输巴西个人数据的机制。
《条例》要求需实施一定的透明度措施,即数据控制者必须在其网站上以葡萄牙语文本披露以下信息,可以发布在特定页面上、也可以集成在现有隐私政策中,所用语言必须简单、清晰、准确、易于理解:
- 数据传输的目的、方式和持续时间;
- 数据接受国;
- 数据控制者的身份信息和联系方式;
- 数据控制者的数据共享情况及其目的;
- 数据处理相关方的责任,以及采取的安全措施;
- 数据主体的权利及行使权利的方式,应向数据主体提供便捷的联系方式,并告知其可以向 ANPD 提出申诉。
ANPD 提供的 SCCs 主要包括以下内容:
- 双方的责任分配,包括披露相关信息、回应数据主体权利请求、以及报告安全事件的责任;
- 双方的一般义务,主要有根据特定目的处理个人数据、处理的数据限于实现处理目的所必需的范围、采取与风险相适应的安全措施、保存数据处理活动的记录;
- 数据主体的权利;
- 违约责任;
- 管辖条款。
值得注意的是,与欧盟 SCCs 区分“控制者-控制者”“控制者-处理者”等多种场景并采取模块化条款的做法相比,巴西提供的 SCCs 中双方义务仅基于其作为数据传输方或接收方的角色而规定。同时,双方可以根据自身情况就披露相关信息、回应数据主体权利请求、以及报告安全事件的责任进行分配,但若双方同时为数据控制者,则双方均需承担这些责任。
5.约束性公司规则(BCRs)
BCRs 适用于同一集团内部的数据跨境传输活动。经 ANPD 批准的 BCRs 可以作为集团内部将个人数据从巴西传输至巴西境外的机制。
《条例》要求 BCRs 必须包括以下内容:
- 根据 LGPD 第50条第2款规定实施的隐私治理计划,包括适当的政策和保障措施,对隐私风险的系统性评估,事件响应计划和补救措施等。
- 跨境数据传输活动的描述,包括个人数据的类别、处理操作、处理目的、法律依据以及数据主体的类型;
- 可能的数据接收国;
- 集团的结构,并应包含集团内每个实体在数据跨境中的承担的角色及其联系方式;
- 责任分配;
- 数据主体的权利以及行使权利的方式;
- BCRs 的审查程序;
- 集团成员受到其他国家法律限制而无法遵守 BCRs 时,需向 ANPD 报告。
合规建议
出海巴西的企业应当对《条例》的相关规定给予足够的关注,以使数据跨境传输活动符合巴西监管要求。总体而言,企业需确保存在一个合法的跨境传输机制,并遵守跨境传输的要求。
如采用 SCCs 作为数据跨境传输机制,则需在 2025 年 8 月 23 日之前将 ANPD 发布的 SCCs 文本纳入合同。还应注意的是,《条例》中特别规定了使用 SCCs 作为传输机制时,应实施一定的透明度措施,企业需按照要求披露相关信息。
